04-Portal命令
本章节下载: 04-Portal命令 (164.31 KB)
目 录
1.1.1 display portal free-rule
1.1.2 display portal interface
1.1.3 display portal local-server
1.1.4 display portal tcp-cheat statistics
1.1.11 portal local-server enable
【命令】
display portal free-rule [ rule-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
rule-number:免认证规则编号,取值范围为0~255。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal free-rule命令用来显示Portal的免认证规则信息。
需要注意的是,若不指定参数rule-number,则显示所有的免认证规则信息。
相关配置可参考命令portal free-rule。
【举例】
# 显示编号为1的免认证规则。
<Sysname> display portal free-rule 1
Rule-Number 1:
Source:
IP : 2.2.2.0
Mask : 255.255.255.0
MAC : 0000-0000-0000
Interface : any
Vlan : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
表1-1 display portal free-rule命令显示信息描述表
字段 |
描述 |
Rule-Number |
免认证规则的编号 |
Source |
免认证规则的源信息 |
IP |
免认证规则的源IP地址 |
Mask |
免认证规则的源IP地址子网掩码 |
MAC |
免认证规则的源MAC地址 |
Interface |
免认证规则的源端口 |
Vlan |
免认证规则的源VLAN |
Destination |
免认证规则的目的信息 |
IP |
免认证规则的目的IP地址 |
Mask |
免认证规则的目的IP地址子网掩码 |
【命令】
display portal interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
interface-type interface-number:端口类型和端口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal interface命令用来显示指定端口的Portal配置信息。
【举例】
# 显示以太网端口GigabitEthernet1/0/1的Portal配置信息。
<Sysname> display portal interface gigabitethernet1/0/1
Interface portal configuration:
GigabitEthernet1/0/1: Portal running
Portal server: local-server
Portal backup-group: N/A
Authentication type: Direct
Authentication domain: aaa
Authentication network:
表1-2 display portal interface命令显示信息描述表
字段 |
描述 |
Interface portal configuration |
端口上Portal的配置信息 |
GigabitEthernet1/0/1 |
端口上Portal认证的状态 l disabled:Portal认证未使能 l enabled:Portal认证已使能,但未生效 l running:Portal认证已生效 |
Portal server |
端口引用的Portal服务器 |
Portal backup-group |
端口所属的备份组编号 当端口不属于任何备份组时,显示为None |
Authentication type |
端口上配置的认证方式 |
Authentication domain |
端口上的强制认证域 |
Authentication network |
Portal认证网段信息 |
【命令】
display portal local-server [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal local-server用来显示本地Portal服务器的配置信息,包括支持的协议类型、引用的SSL服务器端策略。
相关配置可参考命令portal local-server和portal local-server bind。
【举例】
# 显示本地Portal服务器的配置。
<Sysname> display portal local-server
Protocol: HTTP
Local-server IP: 10.1.1.1
Server policy:
表1-3 display portal local-server命令显示信息描述表
字段 |
描述 |
Protocol |
本地Portal服务器支持的协议类型,包括HTTP和HTTPS |
Local-server IP |
本地Portal服务器的IP地址 |
Server policy |
指定HTTPS服务关联的SSL服务器策略,如果配置的是HTTP协议方式,则此字段为空 |
【命令】
display portal tcp-cheat statistics [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal tcp-cheat statistics命令用来显示TCP仿冒统计信息。
【举例】
# 显示所有TCP仿冒统计信息。
<Sysname> display portal tcp-cheat statistics
TCP Cheat Statistic:
Total Opens: 0
Resets Connections: 0
Current Opens: 0
Packets Received: 0
Packets Sent: 0
Packets Retransmitted: 0
Packets Dropped: 0
HTTP Packets Sent: 0
Connection State:
SYN_RECVD: 0
ESTABLISHED: 0
CLOSE_WAIT: 0
LAST_ACK: 0
FIN_WAIT_1: 0
FIN_WAIT_2: 0
CLOSING: 0
表1-4 display portal tcp-cheat statistics命令显示信息描述表
字段 |
描述 |
TCP Cheat Statistic |
TCP仿冒统计信息 |
Total Opens |
打开的连接总数 |
Resets Connections |
通过RST报文重置的连接数 |
Current Opens |
当前正在打开的连接数 |
Packets Received |
收到的报文数 |
Packets Sent |
发送的报文数 |
Packets Retransmitted |
重传的报文数 |
Packets Dropped |
丢弃的报文数 |
HTTP Packets Sent |
发送的HTTP报文数 |
Connection State |
连接状态 |
ESTABLISHED |
处于established状态的连接数 |
CLOSE_WAIT |
处于close wait状态的连接数 |
LAST_ACK |
处于last ack状态的连接数 |
FIN_WAIT_1 |
处于fin wait 1状态的连接数 |
FIN_WAIT_2 |
处于fin wait 2状态的连接数 |
CLOSING |
处于closing状态的连接数 |
【命令】
display portal user { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:显示所有Portal用户的信息。
interface interface-type interface-number:显示指定端口上的Portal用户信息。interface-type interface-number为端口类型和端口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display portal user命令用来显示Portal用户的信息。
【举例】
# 显示所有Portal用户的信息。
<Sysname> display portal user all
Index:2
State:ONLINE
SubState:INVALID
ACL:NONE
Work-mode:Stand-alone
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eab 2.2.2.2 0 GigabitEthernet1/0/1
Total 1 user(s) matched, 1 listed.
表1-5 display portal user命令显示信息描述表
字段 |
描述 |
Index |
Portal用户的索引 |
State |
Portal用户的当前状态 |
SubState |
Portal用户的当前子状态 |
ACL |
Portal用户的授权ACL |
Work-mode |
Portal用户的工作模式,有如下三种: l 协同工作主用户:Primary l 协同工作备用户:Secondary l 单独工作用户:Stand-alone |
MAC |
Portal用户的MAC地址 |
IP |
Portal用户的IP地址 |
Vlan |
Portal用户所在的VLAN |
Interface |
Portal用户所在的端口 |
Total 1 user(s) matched, 1 listed |
总计有1个Portal用户 |
【命令】
portal auth-fail vlan authfail-vlan-id
undo portal auth-fail vlan
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
authfail-vlan-id:Auth-Fail VLAN ID。Portal用户认证失败后,将被加入此VLAN。
【描述】
portal auth-fail vlan命令用来配置指定端口的Portal认证的Auth-Fail VLAN。undo portal auth-fail vlan命令用来恢复缺省配置。
缺省情况下,端口没有配置Portal认证的Auth-Fail VLAN。
需要注意的是:
l 本命令指定的VLAN必须已经存在。
l 为使该配置生效,必须使能端口上的MAC VLAN功能。
l 不同的端口可以配置不同的Portal认证的Auth-Fail VLAN,但一个端口最多只能配置一个Portal认证的Auth-Fail VLAN。
【举例】
# 配置Portal用户认证失败后加入的Auth-Fail VLAN为VLAN 5。
[Sysname] vlan 5
[Sysname-vlan5] quit
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port link-type hybrid
[Sysname-GigabitEthernet1/0/1] mac-vlan enable
[Sysname-GigabitEthernet1/0/1] portal auth-fail vlan 5
【命令】
portal delete-user { ip-address | all | interface interface-type interface-number }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ip-address:用户的IP地址。
all:所有用户。
interface interface-type interface-number:该端口下的所有用户。interface-type interface-number为端口类型和端口编号。
【描述】
portal delete-user命令用来强制接入设备上的用户下线。
相关配置可参考命令display portal user。
【举例】
# 强制IP地址为1.1.1.1的用户下线。
<Sysname> system-view
[Sysname] portal delete-user 1.1.1.1
【命令】
portal domain domain-name
undo portal domain
【视图】
二层以太网络端口视图
【缺省级别】
2:系统级
【参数】
domain-name:ISP认证域名,为1~24个字符的字符串,不分区大小写,且必须是已经存在的域名。
【描述】
portal domain命令用来指定Portal用户使用的认证域,使得所有从该端口上接入的Portal用户强制使用该认证域。undo portal domain命令用来恢复缺省情况。
缺省情况下,未指定Portal用户使用的认证域。
相关配置可参考命令display portal interface。
【举例】
# 指定从端口GigabitEthernet1/0/1上接入的Portal用户使用认证域my-domain。
<Sysname> system-view
[Sysname] interface gigabitethernet1/0/1
[Sysname–GigabitEthernet1/0/1] portal domain my-domain
【命令】
portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } } } *
undo portal free-rule { rule-number | all }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
rule-number:免认证规则编号,取值范围为0~255。
any:表示不对前面的参数做限制。
ip ip-address:免认证规则的IP地址。
mask { mask-length | netmask }:免认证规则的IP地址掩码。其中,mask-length为子网掩码长度,取值范围为0~32;netmask为子网掩码,点分十进制格式。
mac mac-address:免认证规则的源MAC地址,为H-H-H的形式。
all:所有免认证规则。
【描述】
portal free-rule命令用来配置Portal的免认证规则,指定源过滤条件或目的过滤条件。undo portal free-rule命令用来删除免认证规则。
需要注意的是:
l 相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
l 无论端口上是否使能Portal认证,只能添加或者删除免认证规则,不能修改。
l 对于二层Portal认证,只能配置从任意源地址到任意或指定目的地址的免认证规则。配置了这种类型的免认证规则后,用户不需要通过Portal认证即可访问指定目的网段或地址的网络资源,且用户访问这些资源的HTTP请求不会被重定向到Portal认证页面上。
相关配置可参考命令display portal free-rule。
【举例】
# 配置Portal免认证规则,符合目的IP地址为10.10.10.1/24的报文不会触发Portal认证。
<Sysname> system-view
[Sysname] portal free-rule 15 destination ip 10.10.10.1
【命令】
portal local-server { http | https server-policy policy-name }
undo portal local-server { http | https }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
http:指定本地Portal服务器使用HTTP协议和客户端交互认证信息。
https:指定本地Portal服务器使用HTTPS协议和客户端交互认证信息。
server-policy policy-name:指定HTTPS服务关联的SSL服务器端策略。其中,policy-name表示SSL服务器端策略名,为1~16个字符的字符串,不区分大小写。
【描述】
portal local-server命令用来配置本地Portal服务器支持的协议类型,并同时加载缺省认证页面文件。undo portal local-server命令用来取消本地Portal服务器支持的协议类型。
缺省情况下,本地Portal服务器不支持任何协议类型。
需要注意的是:
l 执行本命令时,本地Portal服务器将同时加载已保存在根目录的缺省认证页面文件,因此,为保证自定义的缺省认证页面生效,请首先完成对它的编辑及保存工作,否则使用系统默认的缺省认证页面。
l 若指定HTTP协议,则HTTP报文的重定向地址格式为:http://设备IP/portal/logon.htm,客户端通过HTTP协议与Portal服务器交互认证信息。
l 若指定HTTPS协议,则HTTP报文的重定向地址格式为:https://设备IP/portal/logon.htm,客户端通过HTTPS协议与Portal服务器交互认证信息。
l 已经被HTTPS服务关联的SSL服务器端策略不能使用undo ssl server-policy删除。
l 本设备上所有与HTTPS服务相关联的SSL服务器端策略必须相同。
l 若设备上有本地Portal用户在线,则不能取消支持的协议类型或修改支持的协议类型,也不能修改关联的SSL服务器端策略。
l 更改HTTPS服务关联的SSL服务器端策略时,必须先使用undo portal local-server https命令取消配置的HTTPS协议,然后再重新指定SSL服务器策略。
相关配置可参考命令display portal local-server和“安全命令参考/SSL配置命令”中的ssl server-policy。
【举例】
# 配置本地Portal服务器支持HTTP协议方式。
<Sysname> system-view
[Sysname] portal local-server http
# 配置本地Portal服务器支持HTTPS协议方式,并引用已经配置的SSL服务器端策略policy1。
<Sysname> system-view
[Sysname] portal local-server https server-policy policy1
# 更改SSL服务器端策略为policy2。
[Sysname] undo portal local-server https
[Sysname] portal local-server https server-policy policy2
【命令】
portal local-server enable
undo portal
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
portal local-server enable命令用来在端口上使能二层Portal认证。undo portal命令用来恢复缺省配置。
缺省情况下,未使能二层Portal认证。
需要注意的是:
l 为使二层端口上的Portal认证功能正常运行,不建议端口上同时使能端口安全、802.1X的Guest VLAN或802.1X的EAD快速部署功能。关于端口安全、802.1X的相关介绍,请参考“安全配置指导”中的“端口安全配置”和“802.1X配置”。
l 使能该功能前,必须先指定本地Portal服务器的监听IP地址。
相关配置请参考命令portal local-server ip。
【举例】
# 在端口GigabitEthernet1/0/1上使能二层Portal认证。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] portal local-server enable
【命令】
portal local-server ip ip-address
undo portal local-server ip
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ip-address:本地Portal服务器的监听IP地址。该地址为接入设备上一个与Portal客户端路由可达的三层接口IP地址(通常为Loopback接口IP)。
【描述】
portal local-server ip命令用来指定二层Portal认证的本地Portal服务器监听IP地址。对于Portal用户输入任意URL地址进行的Web访问请求,设备都将其重定向到该监听地址的认证页面上。undo portal local-server ip命令用来恢复缺省配置。
缺省情况下,没有指定本地Portal服务器的监听IP地址。
需要注意的是,配置的监听IP地址推荐使用LoopBack接口地址,利用LoopBack接口状态稳定的优点,避免因为接口故障导致用户无法打开认证页面的问题。另外,由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。
【举例】
# 配置二层Portal认证的本地Portal服务器监听IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] interface loopback 1
[Sysname-LoopBack1] ip address 1.1.1.1 32
[Sysname-LoopBack1] quit
[Sysname] portal local-server ip 1.1.1.1
【命令】
portal max-user max-number
undo portal max-user
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
max-number:允许同时在线的最大Portal用户数,取值范围为1~3000。
【描述】
portal max-user命令用来配置Portal最大用户数。undo portal max-user命令用来恢复缺省情况。
缺省情况下,Portal最大用户数为3000。
需要注意的是,如果配置的Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。
【举例】
# 配置Portal最大用户数为100。
<Sysname> system-view
[Sysname] portal max-user 100
【命令】
portal move-mode auto
undo portal move-mode
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
portal move-mode auto命令用来开启Portal用户认证端口的自动迁移功能。已认证用户离开原认证端口到达新的认证端口后,如果端口的VLAN相同,则用户不需要重新认证,就可以继续访问网络;若端口的VLAN不同,则该用户将在原端口上下线,在新的端口上重新认证后上线。undo portal move-mode用来恢复缺省情况。
缺省情况下,Portal用户认证端口的自动迁移功能处于关闭状态。认证成功的用户从同一设备上的当前认证端口离开并迁移到其它认证端口上接入时,由于原端口上仍然保留该用户的认证信息,从而无法在新端口上认证上线。
需要注意的是,在开启了本功能的情况下,若用户认证端口迁移后原端口状态变为down,则用户也会下线,所以本功能仅能在用户和设备之间存在Hub、二层交换机或AP的组网环境下生效。
【举例】
# 开启Portal用户认证端口的自动迁移功能。
<Sysname> system-view
[Sysname] portal move-mode auto
【命令】
portal offline-detect interval offline-detect-interval
undo portal offline-detect interval
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
offline-detect-value:用户在线检测时间间隔,取值范围为60~65535。
【描述】
portal offline-detect interval命令用来配置二层Portal用户的在线检测时间间隔。设备会以此为间隔定期检测此端口上所有在线用户的MAC地址表项是否被流量命中过,若检测到某用户的MAC没有被命中过或者该用户的MAC地址表项已经老化,则认为一次检测失败,若连续两次检测失败,设备将强制该用户下线。undo portal offline-detect interval命令用来恢复缺省情况。
缺省情况下,二层Portal用户在线检测时间间隔为300秒。
需要注意的是,由于设备进行检测时若发现用户MAC地址表项已经老化,则会认为检测失败,因此,为避免这种无效检测,建议配置的检测时间间隔小于等于用户MAC地址表项的老化时间。
【举例】
# 配置设备检测GigabitEthernet 1/0/1端口上二层Portal用户在线状态的时间间隔为3600秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] portal offline-detect interval 3600
【命令】
portal redirect-url url-string [ wait-time period ]
undo portal redirect-url
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
url-string:Portal用户认证成功后,认证页面的自动跳转目的网站地址,为1~127个字符的字符串,必须是以http://或者https://开头的完整的URL路径。
period:Portal用户认证成功后认证页面等待进行跳转的时间间隔,取值范围为1~90,单位为秒,缺省值为5。
【描述】
portal redirect-url命令用来指定Portal用户认证成功后认证页面的自动跳转目的网站地址。undo portal redirect-url命令用来恢复缺省情况。
缺省情况下,对于本地Portal认证,用户认证成功后认证页面不会进行跳转。
需要注意的是:
l wait-time参数只对本地Portal认证有效。
l 若二层Portal认证用户认证成功后要被授权VLAN,则用户上线后可能需要更新自己的IP地址,本命令中指定的网站页面跳转等待时间间隔应该大于用户更新IP地址的时间,否则用户可能会因为IP地址还没有完成更新而无法打开指定的跳转网站页面。
【举例】
# 指定Portal用户认证成功后,认证页面在3秒后自动跳转为http://www.testpt.cn网站页面。
<Sysname> system-view
[Sysname] portal redirect-url http://www.testpt.cn wait-time 3
【命令】
portal server banner banner-string
undo portal server banner
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
banner-string:用户定制的Web页面欢迎信息,为1~50个字符的字符串,区分大小写,不允许为‘<’、‘&’。字符串中可包括连续多个连续空格,浏览器将会识别为一个空格。
【描述】
portal server banner命令用来配置本地Portal服务器提供的缺省Web页面欢迎信息。undo portal server banner命令用来恢复缺省配置。
缺省情况下,无Web页面欢迎信息。
需要注意的是,配置的Web页面欢迎信息仅对缺省的认证页面有效,对于用户定制的认证页面无效。
【举例】
# 配置本地Portal服务器提供的Web页面欢迎信息为:Welcome to Portal Authentication。
<Sysname> system-view
[Sysname] portal server banner Welcome to Portal Authentication
【命令】
portal web-proxy port port-number
undo portal web-proxy port { port-number | all }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
port-number:Web代理服务器的TCP端口号,取值范围为1~65535。
all:指定所有Web代理服务器的TCP端口号。
【描述】
portal web-proxy port命令用来添加允许触发Portal认证的Web代理服务器端口。undo portal web-proxy port命令用来删除指定或所有的Web代理服务器端口。
缺省情况下,不存在允许触发Portal认证的非80的Web代理服务器端口,设备只对目的端口为80的HTTP请求进行重定向。
需要注意的是:
l 通过多次执行本命令,最多可以添加4个Web代理服务器端口。
l 如果用户浏览器使用的Web代理服务器端口是80,则不需要进行本配置。
l 如果用户浏览器采用WPAD方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。
l 对于二层Portal认证,不仅需要网络管理员在设备上添加指定的Web代理服务器端口,还需要用户在浏览器上将设备的本地Portal服务器监听IP地址配置为Web代理服务器的例外地址,避免Portal用户发送给本地Portal服务器的HTTP报文被发送到Web代理服务器上,从而影响正常的Portal认证。
【举例】
# 某组网环境中,有些Portal客户端浏览器使用Web代理服务器上网,端口号为8080。为了允许这样的Portal用户认证上网,网络管理员需要在Portal接入设备上添加允许触发Portal认证的Web代理服务器端口号8080。
<Sysname> system-view
[Sysname] portal web-proxy port 8080
【命令】
reset portal tcp-cheat statistics
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
无
【描述】
reset portal tcp-cheat statistics命令用来清除TCP仿冒统计信息。
【举例】
# 清除TCP仿冒统计信息。
<Sysname> reset portal tcp-cheat statistics
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!